Cloudflare a déclaré mardi avoir atténué 7,3 millions d’attaques par déni de service distribué (DDoS) au deuxième trimestre 2025, soit une baisse significative par rapport aux 20,5 millions d’attaques DDoS qu’elle a repoussées au trimestre précédent.

« Globalement, au deuxième trimestre 2025, les attaques DDoS hypervolumétriques ont explosé », ont déclaré Omer Yoachimik et Jorge Pacheco . « Cloudflare a bloqué plus de 6 500 attaques DDoS hypervolumétriques, soit une moyenne de 71 par jour. »

Au premier trimestre 2025, l’entreprise a déclaré qu’une campagne soutenue de 18 jours contre ses propres infrastructures et d’autres infrastructures critiques protégées par Cloudflare était responsable de 13,5 millions d’attaques observées durant cette période. Au total, Cloudflare a bloqué près de 28 millions d’attaques DDoS, dépassant ainsi le nombre d’attaques neutralisées sur l’ensemble de l’année 2024.

L’attaque la plus notable du deuxième trimestre 2025 est une attaque DDoS stupéfiante qui a culminé à 7,3 térabits par seconde (Tbps) et 4,8 milliards de paquets par seconde (Bpps) en l’espace de 45 secondes.

De tels pics de trafic font la une des journaux, mais on oublie souvent que les attaquants les combinent désormais avec des sondes plus petites et ciblées. Au lieu de submerger les systèmes par la force brute, ils combinent des inondations massives avec des analyses discrètes pour identifier les points faibles et contourner les défenses conçues pour bloquer uniquement les éléments évidents.

Les attaques DDoS de couche 3/couche 4 (L3/4) ont diminué de 81 % par rapport au trimestre précédent, pour atteindre 3,2 millions, tandis que les attaques DDoS HTTP ont augmenté de 9 % pour atteindre 4,1 millions. Plus de 70 % des attaques DDoS HTTP provenaient de botnets connus. Les vecteurs d’attaque L3/4 les plus courants étaient les attaques par inondation menées via les protocoles DNS, TCP SYN et UDP.

Les fournisseurs et opérateurs de services de télécommunication ont été parmi les plus ciblés, suivis par les secteurs d’Internet, des services informatiques, des jeux et des paris.

La Chine, le Brésil, l’Allemagne, l’Inde, la Corée du Sud, la Turquie, Hong Kong, le Vietnam, la Russie et l’Azerbaïdjan sont les pays les plus attaqués selon le pays de facturation des clients Cloudflare. L’Indonésie, Singapour, Hong Kong, l’Argentine et l’Ukraine sont les cinq principales sources d’attaques DDoS.

La société d’infrastructure et de sécurité Web a également révélé que le nombre d’attaques DDoS hypervolumétriques dépassant 100 millions de paquets par seconde (pps) a augmenté de 592 % par rapport au trimestre précédent.

Un autre aspect significatif est l’augmentation de 68 % des attaques DDoS avec rançon. Ces attaques se produisent lorsque des acteurs malveillants tentent d’extorquer de l’argent à une organisation en la menaçant d’une attaque DDoS. Elles peuvent également survenir dans des scénarios où une rançon est exigée pour empêcher qu’elles ne se reproduisent.

« Si la majorité des attaques DDoS sont de faible ampleur, les attaques DDoS hypervolumétriques augmentent en taille et en fréquence », a déclaré Cloudflare. « Six attaques DDoS HTTP sur 100 dépassent 1 million de rps, et cinq attaques DDoS L3/4 sur 10 000 dépassent 1 Tbps, soit une augmentation de 1 150 % en glissement trimestriel. »

La société a également attiré l’attention sur une variante de botnet baptisée DemonBot qui infecte les systèmes basés sur Linux, principalement les appareils IoT non sécurisés, via des ports ouverts ou des informations d’identification faibles pour les enrôler dans un botnet DDoS capable d’effectuer des inondations UDP, TCP et de couche applicative.

« Les attaques sont généralement pilotées par des systèmes de commandement et de contrôle (C2) et peuvent générer un trafic important, ciblant souvent les jeux, l’hébergement ou les services d’entreprise », a-t-il ajouté. « Pour éviter toute infection, utilisez un logiciel antivirus et un filtrage de domaine. »

Les vecteurs d’infection comme ceux exploités par DemonBot mettent en évidence des défis plus vastes liés à l’exposition non sécurisée de l’IoT, à la faiblesse des identifiants SSH et à l’obsolescence des micrologiciels, autant de thèmes récurrents dans la prolifération des botnets DDoS. Les stratégies d’attaque associées, telles que la réflexion TCP, l’amplification DNS et l’évasion de la couche d’attaque par rafale, sont de plus en plus abordées dans les rapports de Cloudflare sur les menaces de la couche applicative et les analyses de sécurité des API.